¿Qué es el descifrado de SSL?

Los protocolos SSL (capa de sockets seguros) y su moderno y más seguro sucesor TLS (seguridad de la capa de transporte) se utilizan para cifrar el tráfico web. El cifrado de datos en tránsito es una práctica habitual, ya que aproximadamente el 90 % de las páginas web están ahora cifradas. Aunque esto ayuda a prevenir filtraciones de información, los ciberdelincuentes utilizan estos canales cifrados para propagar malware y extraer datos sabiendo que pueden eludir las soluciones tradicionales de inspección de seguridad que no descifran el tráfico.

Las herramientas de inspección de seguridad como los cortafuegos de última generación (NGFW), los sistemas de protección contra la pérdida de datos (DLP), los sistemas de detección/protección contra intrusos (IDS/IPS), las puertas de enlace web y otros son excelentes para descubrir amenazas entre el tráfico. Sin embargo, no descifran eficientemente el tráfico antes de inspeccionarlo y no pueden ver las amenazas cifradas, lo que permite que el malware o los datos de propiedad intelectual fluyan sin ser inspeccionados o detenidos cuando es necesario. El descifrado de SSL, también conocido como visibilidad de SSL, es el proceso de descifrar el tráfico a escala y dirigirlo hacia diversas herramientas de inspección que identifican las amenazas entrantes para las aplicaciones y las salientes desde los usuarios hacia Internet.

El uso del cifrado SSL/TLS en el tráfico web ha aumentado extraordinariamente por varias razones:

• Disponibilidad de certificados baratos o gratuitos: Let’s Encrypt es una autoridad de certificación (CA) gratuita, automatizada y abierta. Let's Encrypt es de fácil acceso para operadores de sitios pequeños para quienes el costo anteriormente era una barrera, y para desarrolladores de sitios/aplicaciones que desean automatizar la implementación de certificados dentro de sus aplicações. Sin embargo, los delincuentes pueden obtener con la misma facilidad los mismos certificados para hacer que sus sitios falsos parezcan legítimos. Luego utilizan estos sitios para realizar ataques de phishing, de intermediarios, de envenenamiento de caché DNS y otros ataques.
• Advertencias del navegador Google Chrome: A partir de julio de 2018, los sitios web que no utilicen encriptación SSL/TLS se marcarán automáticamente como no seguros.
• Clasificación de los resultados de búsqueda de Google: Google ofrece clasificaciones más altas en los resultados de búsqueda para los sitios que utilizan encriptación SSL/TLS.
• Aumentar el enfoque en la privacidad del usuario: La gran cantidad de violaciones de datos en las noticias ha aumentado el interés del público en los datos y la privacidad de los usuarios. Leyes y regulaciones como el RGPD de la Unión Europea y la nueva Ley de Privacidad del Consumidor de California también han motivado a las organizaciones a implementar SSL/TLS.

Además de las amenazas ocultas en el cifrado, hay que ser consciente de otros desafíos cuando se diseña o mantiene una arquitectura que inspeccione el tráfico. Entre otros, son:

• Mayor complejidad: Muchas empresas utilizan múltiples herramientas de inspección de seguridad para encontrar y detener distintos tipos de amenazas. Algunas de estas herramientas no descifran el tráfico y otras no pueden descifrarlo a gran escala. Esto genera una arquitectura de inspección impredecible y hace que sea más complejo enrutar el tráfico de manera eficiente de un dispositivo a otro. Además, las fallas de la herramienta de inspección pueden potencialmente introducir latencia o puntos muertos en el tráfico; y tener múltiples puntos de descifrado y cifrado hace que cambios simples en un dispositivo sean mucho más complejos, ya que pueden afectar a toda la cadena de inspección.
• Impactos en el rendimiento: Descifrar y volver a cifrar el tráfico requiere un uso intensivo de recursos computacionales, lo que puede afectar el rendimiento de los dispositivos de inspección. Esto muchas veces da como resultado que solo se inspeccione una parte del tráfico en busca de amenazas, mientras que el tráfico que supera el límite de procesamiento de una herramienta pasa sin inspección.
• Criptografía moderna: Sin una forma centralizada de descifrar y cifrar, el uso de cifrados estándar es difícil de gestionar cuando es necesario realizar cambios. Además, como las organizaciones prefieren utilizar cifrados de secreto directo perfecto en la mayoría de los casos, una clave de cifrado no se puede simplemente compartir con dispositivos de inspección fuera de banda para realizar una inspección pasiva.
• Normas de privacidad: La falta de una clasificación de tráfico personalizable basada en políticas puede provocar que se descifre todo el tráfico, lo que puede violar la privacidad de los usuarios. Si bien descifrar el tráfico es esencial para encontrar malware y otras amenazas, tener tanta visibilidad de la información bancaria o sanitaria de los usuarios podría violar leyes o regulaciones.

Descifrando en función de políticas y conduciendo el tráfico entrante y saliente se logra la visibilidad del tráfico cifrado y se aumenta la eficiencia y resistencia de todo el conjunto de herramientas de inspección.

Eligiendo una SSL/TLS que proporcione una gestión centralizada, puede simplificar el proceso de elección y actualización de los paquetes de cifrado que aseguran las conexiones de red que usan SSL/TLS. Esto aumenta el rendimiento de sus herramientas de inspección de tráfico y permite a la vez mayor flexibilidad en la gestión del cifrado que utiliza de extremo a extremo.